[Linux-sunucu] Re: PfSense ile https kontrolü?
Selamlar, elbette hiyerarşik bir yapı ve tek bir noktadan ağ kaynaklarının kullanılması adına mysql, ldap gibi çözümler oldukça iş görüyor. Fakat DHCP üzerinden IP dağıtırken, DHCP sunucusunda tüm IP'leri MAC'a tanımlı yapıp, DHCP ile verilen IP adresi dışında IP'lerin erişimini kesip ve bir php sayfasında Ad Soyad IP MAC tablosu tutup hangi IP adresi hangi MAC ile hangi kullanıcıda bildikten sonra tüm iptables snort ve benzeri işlemlerinizi IP üzerinden halledebilirsiniz. Biraz yorucu olur ama IP'leri eğer MAC üzerinden veriyorsanız güvenebilirsiniz. Benim DHCP sunucumda açık bir scope yok. Kullanıcıya bilgisayar veriyorsak ya da laptop gibi donanımlarını network'e dahil ediyorsak MAC adresini DHCP'den ekleyip IP sabitleyip o IP için iptables ve Snort'ta izin veriyorum oluyor bitiyor. Gerisi ve tüm traffic block zaten :) Saygılar Ozgur 4 Ağustos 2013 18:34 tarihinde Aytekin Aygün aytekinay...@gmail.com yazdı: 4 Ağustos 2013 12:06 tarihinde Mucibirahman İLBUGA mucip.ilb...@gmail.com yazdı: 04-08-2013 11:48 tarihinde, Aytekin Aygün yazdı: Zaten zurnanin zirt dediği yer burasi. Bunu yapmak için ya SSL sertifika yöntemini kullanacaksiniz yada clientlara proxy gireceksiniz. Selamlar, Aslında aklıma şu geldi: Tüm 443 portunu yasaklasak. Sadece banka veya diğer ihtiyaç duyulan adreslerin IP'lerini girsek. Yani şu IP'ler değilse yasakla şeklinde yazsak... Bankalar haricinde 443 kullanan çok yer var mı?Ne kadar fazla olabilir ki?... Merhaba, Bunu da kullananlar var ve kontrolün tamamen elinizde olması açısından olabilir. Ama bu sefer de whitelist için IP blokları ile uğraşacaksınız. Bir süre sonra taşlar yerine oturmaya başlar elbette ama o süre ihtiyaçlarınız doğrultusunda bitmeyebilirde. Aslında tüm bu yöntemler ile bir şekilde (snort'u bu amaçla kullanmadım) sonuçlar alıp, yolumuza devam edebiliyoruz. Fakat sonra işler karışmaya başlıyor. Onu burdan blokla, bunu şurdan filtrele derken ipin ucu yönetimsel olarak karışıyor. Bu konunun teknik olabilirliliklerini tartışırken ideal olanı da atlamamak lazım. Ben istiyorum ki; yetki gruplarımı oluşturayım, yasaklayacağım grubun yasaklı domain listesine facebook.com'u ekleyeyim, http - https - vs. düşünmeyeyim. Geriye dönüp baktığımda kime ne yetki vermişim hemen görebileyim. Kullanıcı yetkilendirmesi için de IP'lerin peşinden koşmaktan bıkmış biri olarak geldiğim nokta; dansguardian-squid-iptables-ldap ile yapıyı kurup clientlere proxy girmek ve kullanıcıları user/password mantığında internete eriştirmek. Bir süredir kullanıyorum ve işler şimdilik yolunda. Mucip bey size önerim, bir kullanıcıda testlerinizi yapın derim. Takıldığınız yerde yardımcı olmaya çalışırız. -- Saygılar, Aytekin Aygün ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu -- Ozgur ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: DD buyukten kucuge kopya
04-08-2013 23:34 tarihinde, Mucibirahman İLBUGA yazdı: 04-08-2013 19:59 tarihinde, Mesut Güler yazdı: 6- yeni diske chroot yaparak grubu MBR ye yazıyorum. Merhaba Mesut bey, Bu şekilde olabiliyor olması ilginç. :) Ancak bu 6. maddeyi açar mısınız? Diğer maddelerde tüm dosya ve bölümleri oluşturup -p parametresi ile kopyalıyorsunuz. Orası güzel ama bu mbr yazmasını detaylandırırsanız (veya kaynak?) çok sevinirim... Merhaba, Sonuçta bu işlemi, sistem kurulumunu yaparken kurulum aracı da yapıyor. Bu işi elle yapıyoruz. Pek ilginç bir durum yok bence :) Hatırımda olan bir kaynak yok ancak bol miktarda örnek bulabilirsiniz gugıldan. mount /dev /mnt/yenidisk/dev --bind mount /proc /mnt/yenidisk/proc --bind chroot /mnt/yenidisk grub-install /dev/sd(x) gibi, grub yazma isi biraz da kullandığınız dağıtımdaki grub versiyonuna bağlı olabilir. saygılar ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: DD buyukten kucuge kopya
On 8/5/13 4:09 AM, Mesut Güler wrote: mount /dev /mnt/yenidisk/dev --bind mount /proc /mnt/yenidisk/proc --bind chroot /mnt/yenidisk # mount -t proc none /mnt/yenidisk/proc # mount --rbind /sys /mnt/yesnidisk/sys # mount --rbind /dev /mnt/yenidisk/dev # chroot /mnt/yenidisk /bin/bash # source /etc/profile # export PS1=(chroot) $PS1 yapiyorum genelde. Sonra da ne yapacaksam (grub vs). -- Eray Aslan e...@gentoo.org ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
Selamlar, Hazır konu açılmışken iptables ile rakamsal domain isteklerini engellemek mümkün mü? Örneğin https://212.145.100.10 veya http://8.8.8.8 gibi sadece rakamlardan oluşan istekleri engellemek mümkün mü? Squid ile yapabiliyoruz ancak iptables ile böyle birşey mümkün mü bilmiyorum. Ozgur 5 Ağustos 2013 11:08 tarihinde Ozgur okara...@member.fsf.org yazdı: Selamlar, elbette hiyerarşik bir yapı ve tek bir noktadan ağ kaynaklarının kullanılması adına mysql, ldap gibi çözümler oldukça iş görüyor. Fakat DHCP üzerinden IP dağıtırken, DHCP sunucusunda tüm IP'leri MAC'a tanımlı yapıp, DHCP ile verilen IP adresi dışında IP'lerin erişimini kesip ve bir php sayfasında Ad Soyad IP MAC tablosu tutup hangi IP adresi hangi MAC ile hangi kullanıcıda bildikten sonra tüm iptables snort ve benzeri işlemlerinizi IP üzerinden halledebilirsiniz. Biraz yorucu olur ama IP'leri eğer MAC üzerinden veriyorsanız güvenebilirsiniz. Benim DHCP sunucumda açık bir scope yok. Kullanıcıya bilgisayar veriyorsak ya da laptop gibi donanımlarını network'e dahil ediyorsak MAC adresini DHCP'den ekleyip IP sabitleyip o IP için iptables ve Snort'ta izin veriyorum oluyor bitiyor. Gerisi ve tüm traffic block zaten :) Saygılar Ozgur 4 Ağustos 2013 18:34 tarihinde Aytekin Aygün aytekinay...@gmail.comyazdı: 4 Ağustos 2013 12:06 tarihinde Mucibirahman İLBUGA mucip.ilb...@gmail.com yazdı: 04-08-2013 11:48 tarihinde, Aytekin Aygün yazdı: Zaten zurnanin zirt dediği yer burasi. Bunu yapmak için ya SSL sertifika yöntemini kullanacaksiniz yada clientlara proxy gireceksiniz. Selamlar, Aslında aklıma şu geldi: Tüm 443 portunu yasaklasak. Sadece banka veya diğer ihtiyaç duyulan adreslerin IP'lerini girsek. Yani şu IP'ler değilse yasakla şeklinde yazsak... Bankalar haricinde 443 kullanan çok yer var mı?Ne kadar fazla olabilir ki?... Merhaba, Bunu da kullananlar var ve kontrolün tamamen elinizde olması açısından olabilir. Ama bu sefer de whitelist için IP blokları ile uğraşacaksınız. Bir süre sonra taşlar yerine oturmaya başlar elbette ama o süre ihtiyaçlarınız doğrultusunda bitmeyebilirde. Aslında tüm bu yöntemler ile bir şekilde (snort'u bu amaçla kullanmadım) sonuçlar alıp, yolumuza devam edebiliyoruz. Fakat sonra işler karışmaya başlıyor. Onu burdan blokla, bunu şurdan filtrele derken ipin ucu yönetimsel olarak karışıyor. Bu konunun teknik olabilirliliklerini tartışırken ideal olanı da atlamamak lazım. Ben istiyorum ki; yetki gruplarımı oluşturayım, yasaklayacağım grubun yasaklı domain listesine facebook.com'u ekleyeyim, http - https - vs. düşünmeyeyim. Geriye dönüp baktığımda kime ne yetki vermişim hemen görebileyim. Kullanıcı yetkilendirmesi için de IP'lerin peşinden koşmaktan bıkmış biri olarak geldiğim nokta; dansguardian-squid-iptables-ldap ile yapıyı kurup clientlere proxy girmek ve kullanıcıları user/password mantığında internete eriştirmek. Bir süredir kullanıyorum ve işler şimdilik yolunda. Mucip bey size önerim, bir kullanıcıda testlerinizi yapın derim. Takıldığınız yerde yardımcı olmaya çalışırız. -- Saygılar, Aytekin Aygün ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu -- Ozgur -- Ozgur ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
Merhaba ; https bilmem ama http için yapılabilir. Iptables'ın string modulu var. http://wiztelsys.com/Article_iptables_bob2.html buradaki örnekleri bir inceleyin. 5 Ağustos 2013 15:00 tarihinde Ozgur okara...@member.fsf.org yazdı: Selamlar, Hazır konu açılmışken iptables ile rakamsal domain isteklerini engellemek mümkün mü? Örneğin https://212.145.100.10 veya http://8.8.8.8 gibi sadece rakamlardan oluşan istekleri engellemek mümkün mü? Squid ile yapabiliyoruz ancak iptables ile böyle birşey mümkün mü bilmiyorum. Ozgur 5 Ağustos 2013 11:08 tarihinde Ozgur okara...@member.fsf.org yazdı: Selamlar, elbette hiyerarşik bir yapı ve tek bir noktadan ağ kaynaklarının kullanılması adına mysql, ldap gibi çözümler oldukça iş görüyor. Fakat DHCP üzerinden IP dağıtırken, DHCP sunucusunda tüm IP'leri MAC'a tanımlı yapıp, DHCP ile verilen IP adresi dışında IP'lerin erişimini kesip ve bir php sayfasında Ad Soyad IP MAC tablosu tutup hangi IP adresi hangi MAC ile hangi kullanıcıda bildikten sonra tüm iptables snort ve benzeri işlemlerinizi IP üzerinden halledebilirsiniz. Biraz yorucu olur ama IP'leri eğer MAC üzerinden veriyorsanız güvenebilirsiniz. Benim DHCP sunucumda açık bir scope yok. Kullanıcıya bilgisayar veriyorsak ya da laptop gibi donanımlarını network'e dahil ediyorsak MAC adresini DHCP'den ekleyip IP sabitleyip o IP için iptables ve Snort'ta izin veriyorum oluyor bitiyor. Gerisi ve tüm traffic block zaten :) Saygılar Ozgur 4 Ağustos 2013 18:34 tarihinde Aytekin Aygün aytekinay...@gmail.comyazdı: 4 Ağustos 2013 12:06 tarihinde Mucibirahman İLBUGA mucip.ilb...@gmail.com yazdı: 04-08-2013 11:48 tarihinde, Aytekin Aygün yazdı: Zaten zurnanin zirt dediği yer burasi. Bunu yapmak için ya SSL sertifika yöntemini kullanacaksiniz yada clientlara proxy gireceksiniz. Selamlar, Aslında aklıma şu geldi: Tüm 443 portunu yasaklasak. Sadece banka veya diğer ihtiyaç duyulan adreslerin IP'lerini girsek. Yani şu IP'ler değilse yasakla şeklinde yazsak... Bankalar haricinde 443 kullanan çok yer var mı?Ne kadar fazla olabilir ki?... Merhaba, Bunu da kullananlar var ve kontrolün tamamen elinizde olması açısından olabilir. Ama bu sefer de whitelist için IP blokları ile uğraşacaksınız. Bir süre sonra taşlar yerine oturmaya başlar elbette ama o süre ihtiyaçlarınız doğrultusunda bitmeyebilirde. Aslında tüm bu yöntemler ile bir şekilde (snort'u bu amaçla kullanmadım) sonuçlar alıp, yolumuza devam edebiliyoruz. Fakat sonra işler karışmaya başlıyor. Onu burdan blokla, bunu şurdan filtrele derken ipin ucu yönetimsel olarak karışıyor. Bu konunun teknik olabilirliliklerini tartışırken ideal olanı da atlamamak lazım. Ben istiyorum ki; yetki gruplarımı oluşturayım, yasaklayacağım grubun yasaklı domain listesine facebook.com'u ekleyeyim, http - https - vs. düşünmeyeyim. Geriye dönüp baktığımda kime ne yetki vermişim hemen görebileyim. Kullanıcı yetkilendirmesi için de IP'lerin peşinden koşmaktan bıkmış biri olarak geldiğim nokta; dansguardian-squid-iptables-ldap ile yapıyı kurup clientlere proxy girmek ve kullanıcıları user/password mantığında internete eriştirmek. Bir süredir kullanıyorum ve işler şimdilik yolunda. Mucip bey size önerim, bir kullanıcıda testlerinizi yapın derim. Takıldığınız yerde yardımcı olmaya çalışırız. -- Saygılar, Aytekin Aygün ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu -- Ozgur -- Ozgur ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu